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(57) Abstract: The invention relates to a method for 
increasing the security of a CPU, which is characterized by 
using a pipeline that comprises a fetch stage (1), a decode 
stage (2), an execute stage (3) and a writeback stage (4), 
said writeback stage having at least one register (41) and 
at least one register (42). When the register (41) is used, 
the status of the CPU remains unchanged, while when 
the register (42) is used, the status of the CPU is changed. 
The inventive method is further characterized in that in the 
decode stage at least one randomly chosen code sequence 
is inserted as the dummy code sequence or filler, thereby 
making an attack by DPA more difficult. 

(57) Zusammenfassung: Bei dem Verfahren wird 
eine Pipeline bestehend aus einer Ladestufe (1), einer 
Decodierstufe (2), einer Ausfilhrungsstufe (3) und einer 
RUckspeicherstufe (4) verwendet. Die RUckspeicherstufe 
besitzt mindestens ein Register (41), bei dessen 
Benutzung keine Zuslandsanderung der CPU erfolgl, und 
mindestens ein Register (42), bei dessen Benutzung eine 
Zuslandsanderung der CPU erfolgt. ErfindungsgemaB wird 
in der Decodierstufe mindestens eine zufallig ausgew&hlte 
Codesequenz als Platzhalter-Code oder FUllsel eingefligt, 
womit ein Angriff durch DPA crschwert wird. 



6/8/07, EAST Version: 2.1.0.14 



WO 02/057905 Al I lllll 1111 lQ 1 1! Ifllll lllll 1111 1 il 111 Hill lllll lllfl lllll 11111 till lllllll llll llll Ull 



VerOffentlicht: Zur Ertdtirung der Zweibuchstaben-Codes und der anderen 
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Beschreibung 

Verfahren zur ErhShung der Sicherheit einer CPU 

Die vorliegende Erfindung betrif f t ein Verfahren zur Verbes- 
serung der Sicherheit einer CPU. 

Differential Power Analysis (DPA) ist ein bekanntes Angriffs- 
szenario fttr Sicherheits-CPUs . Bei einem solchen Angriff wird 
eine Folge von Programmbef ehlen und deren Auswirkungen in der 
CPU mittels statistischer Auswertungen der Kennlinien des 
Stronrverbrauchs ermittelt. Aus diesen Auswertungen lassen 
sich detaillierte Riickschltisse uber das ausgefuhrte Programm 
gewinnen . 

In der DE 199 36. 939 Al und der WO 00/50977 sind Verfahren 
beschrieben, mit denen insbesondere ftir eine Anwendung bei 
Chipkarten eine DPA dadurch erschwert wird, dass nur zur Tau- 
schung vorgesehene Rechenoperationen beziehungsweise Pro- 
grammschritte durchgefilhrt werden, die nach einer zuf&lligen 
Auswahl in die ProgrammablSuf e eingeschleust werden. 

Aufgabe der vorliegenden Erfindung ist es, ein Verfahren zur 
Erhohung der Sicherheit einer CPU anzugeben. 

Diese Aufgabe wird mit dem Verfahren mit den Merkmalen des 
Anspruches 1 geldst. Ausgestaltungen ergeben sich aus den ab- 
h&ngigen Anspruchen. 

Bei dem erf indungsgem&fcen Verfahren wird eine als Pipeline 
aufgebaute CPU mit mindestens einer Decodierstuf e und einer 
Rtickspeicherstuf e verwendet, die typisch eine Ladestufe 
(Fetch Stage) , eine Decodierstuf e (Decode Stage) , eine Aus- 
fiihrungsstufe (Execute Stage) und eine Ruckspeicherstuf e 
(Writeback Stage) umfasst. Die Rtickspeicherstuf e besitzt min- 
destens ein Register, bei dessen Benutzung keine Zustands&n- 
derung der CPU erfolgt, und mindestens ein Register, bei des- 
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sen Benutzung eine Zustands&nderung der CPU erfolgt. Erfin- 
dungsgem&S wird in der Decodierstuf e mindestens eine zufallig 
ausgewahlte Codesequenz als Platzhalter-Code oder Fullsel 
eingefugt. Dieses Verfahren ist im Prinzip fur beliebige 
5 Pipelines anwendbar, die insbesondere zus&tzlich zu den als 
Beispiel angegebenen Stufen uber weitere Stufen verfugen k5n~ 
nen, und wird anhand der beigefiigten Figuren naher erlSutert. 

Die Figur 1 zeigt ein Diagramm der beschriebenen Pipeline. 
10 Die Figur 2 zeigt ein Schema fur das Vorgehen beim Einfiigen 
der Codesequenzen. 

In der Figur 1 ist ein Ablauf diagramm dargestellt, das den 
Programmablauf von der Ladestufe 1 uber die Decodierstuf e 2 

15 in die Ausfuhrungsstufe 3 und von dort in die Ruckspeicher- 
stufe 4 einer als Beispiel dargestellten Pipeline zeigt. Die 
Ruckspeicherstufe 4 besitzt hier mindestens ein erstes Regi- 
ster 41 als Scratch-Register und ein zweites Register 42 als 
Writeback-Register. Das Scratch-Register ist ein Register, 

20 bei dessen Benutzung keine Zustandsanderung der CPU erfolgt, 
wahrend bei der Benutzung des Writeback-Registers eine Zu- 
stands&nderung der CPU erfolgt. Zur ErhShung der Sicherheit 
der CPU wird von der Decodierstuf e 2 eine Codesequenz, und 
zwar im Prinzip eine beliebige Codesequenz, in den Programm- 

25 code, der in der Pipeline tibermittelt wird, eingeschleust . Es 
ist auch m6glich, an mehreren Stellen des Programmcodes eine 
jeweilige zusatzliche Codesequenz als Platzhalter oder Ftill- 
sel (dummy code sequence) einzufiigen. Das ist in der Figur 2 
im Schema dargestellt. 

30 

Die Figur 2 zeigt im Schema eine Codesequenz 5 eines beliebi- 
gen Programms . In dieser Codesequenz 5 werden zufallig ausge- 
wahlte Codesequenzen 6 (Dummy-Sequenzen) an verschiedenen 
vorgegebenen oder ebenfalls zufallig ausgewahlten Stellen 
35 eingefugt, so dass sich die erweiterte Codesequenz 50 ergibt. 
Die eingefiigten Codesequenzen konnen zum Beispiel aus einem 
Speicher, insbesondere aus einem ROM, ausgelesen werden. 
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Die einzelnen Bef ehle zum Einfiigen von Codesequenz kSnnen 
beispielsweise durch den Abruf von Adressen, die ein Zufalls- 
zahlengenerator erzeugt, generiert werden. Die einzufiigenden 
5 Codesequenzen werden aus dem Speicher ausgelesen und an den 
Decoder in zufalliger Lange und Reihenfolge ubermittelt. Der 
Decoder schleust den Code dieser Dummy-Codes equenz en in den 
laufenden Programmcode (Codestream) ein. Auch die Adressen, 
an denen der zufallig ausgew&hlte Code in den Programmcode 
10 eingeschleust wird, ktfnnen mit einer an sich bekannten Zu- 
fallsmethode ermittelt werden. 



Durch die zuf allsbedingt eingefugte Codesequenz oder die meh- 
reren zufallig ausgewShlten und eingefugten Codesequenzen, 

15 die nur als Platzhalter oder Fullsel fungieren, wird keine 

Zustands^nderung der CPU hervorgeruf en. Ein wesentlicher Vor- 
teil dieses Verfahrens ist dabei, dass sich die Ausfuhrungs- 
zeit des eigent lichen Programmcodes bei jedem Durchlauf des- 
selben Programms gegenuber den vorhergehenden Durchlaufen be- 

20 liebig verandern ISsst und dadurch ein Angrif f sversuch, wel- 
chem statistische Auswertungen zugrunde liegen (wie zum Bei- 
spiel der eingangs erw&hnten DPA) , wesentlich erschwert ist. 
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Bezugszeichenliste 

1 Ladestufe 

2 Decodierstufe 

3 Ausfuhrungsstuf e 

4 Ruckspeicherstuf e 

5 Codesequenz 

6 zufailig ausgewahlte Codesequenz 

41 erstes Register (Scratch-Register) 

42 zweites Register (Writeback-Register) 
50 erweiterte Codesequenz 
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Patentanspruche 

1. Verfahren zur ErhShung der Sicherheit einer CPU, bei dem 
eine Pipeline aus mindestens einer Decodierstuf e (2) und ei- 

5 ner Riickspeicherstuf e (4) mit mindestens einem ersten Regi- 
ster (41) , bei dessen Benutzung keine Zustands&nderung der 
CPU erfolgt, und mit mindestens einem zweiten Register (42), 
bei dessen Benutzung eine Zustands&nderung der CPU erfolgt, 
eingesetzt wird, 

10 dadurch gekennzeichnet, dass 

in der Decodierstuf e (2) mindestens eine zuf&llig ausgewShlte 
Codesequenz als Platzhalter-Code oder Fiillsel eingefiigt wird, 
die keine ZustandsSnderung der CPU bewirkt, und 
zusatzliche Mittel vorhanden sind, die dafiir vorgesehen sind, 

15 sicherzustellen, dass bei jedem Durchlauf eines bestimmten 
Programms eine als Platzhalter-Code oder Fullsel verwendete 
und zuf&llig ausgewahlte Codesequenz derart ausgewahlt wird, 
dass eine jeweils von' vorhergehenden ProgrammdurchlSuf en ver- 
schiedene Ausfuhrungsdauer des Programms bewirkt wird. 

20 

2. Verfahren nach Anspruch 1, bei dem 

eine oder mehrere zufallig ausgewShlte Codesequenzen aus ei- 
nem Speicher anhand einer bzw. mehrerer zufallig ermittelter 
Speicheradressen ausgelesen werden. 

25 

3 . Verfahren nach Anspruch 2 , bei dem 
als Speicher ein ROM verwendet wird. 
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